在 Ignite 2024 上，微软除了宣布 Microsoft 365 Companion，Quick Machine Recovery 以及 Windows 365 Link 等内容，还宣布了 Windows 11 管理员保护功能。

有关管理员保护功能的具体细节如下：

管理员保护介绍

Windows 11 管理员保护功能，通过 Windows Hello 验证管理员权限。管理员保护功能通过提供临时管理员令牌，防止滥用，临时管理员令牌无法，每次请求管理员权限时都需安全验证。

管理员保护的运行模式

管理员保护功能会通过 Windows Hello 身份验证来保护管理员权限，当 Windows 在某些操作时（包括：安装软件、修改系统设置、访问敏感数据时）要求管理员权限时，会有管理员保护弹窗跳出，要求用户验证“管理员”权限。

管理员保护安全模型

管理员保护的核心是“最小权限”原则，当用户登录 Windows 时被允许的是“没有任何特别权限”的用户等级，当执行操作时被要求管理员权限时，Windows 会要求用户进行管理员身份授权。一旦管理员身份被授权后，Windows 会创建一个与当前用户隔离的临时管理员令牌，临时管理员令牌用过后就会被销毁，下次使用时还会重复要求进行管理员身份授权。

管理员保护的亮点

• 与 Windows Hello 集成：通过 Windows Hello 实现安全的账号验证授权流程。
• 即时“升级”权限，用后即毁：临时管理员令牌使用后就会被立刻销毁，用户无法获得永久的管理员权限。
• 账户分离：管理员保护使用隐藏的、系统生成的、与配置文件分离的用户帐户来创建隔离的管理员令牌。
• 非自动权限升级：用户需要交互式安全验证才能进行权限升级，有效防止管理员权限滥用。

管理员保护功能可用性

将会通过 Windows Security 推出管理员保护功能，设置完成后需要重启一次设备。

完整的有关管理员保护功能介绍，可以阅读这篇文章：Administrator protection on Windows 11